Time Cockpit und Datenschutz in der Cloud

Dienstag, 31. Jänner 2017 by Rainer Stropek

Einleitung

Datenschutz ist für Unternehmen in der EU ein wichtiges Thema. Besondere Brisanz erhält das Thema mit der vieldiskutierten Datenschutz Grundverordnung, die ab Mai 2018 anwendbar wird. Aus unserer Sicht muss man als europäischer SaaS-Anbieter alles tun, um Interessenten und Kunden die Bewertung von SaaS-Diensten aus datenschutzrechtlicher Sicht so einfach wie möglich zu machen. Ein wichtiger Schritt in diese Richtung ist Transparenz. Aus diesem Grund fassen wir in diesem Blogartikel zusammen, wie wir Daten in der Cloud speichern und verarbeiten. Wir erklären, welche organisatorischen und technischen Maßnahmen wir ergreifen, um den Schutz persönlicher Daten zu gewährleisten.

Welche Daten werden gespeichert?

Grundsätzlich können unsere Kunden beliebige Daten in time cockpit speichern. Time cockpit ist zwar im Kern eine Projektzeiterfassung. Durch die hochgradige Anpassbarkeit und Erweiterbarkeit können Kunden jedoch frei gestalten, welche Daten gespeichert und wie diese verarbeitet werden.

Es liegt in der Verantwortung jedes Kunden, sicherzustellen, dass die entsprechende gesetzliche Grundlage zur Speicherung und Verarbeitung der Daten gegeben ist.

Kunden müssen auch selbst eventuell notwendige, begleitende Maßnahmen (z. B. Bestellung eines Datenschutzverantwortlichen, Meldung über die Speicherung und Verarbeitung der Daten bei Behörden etc.) treffen.

Microsoft Azure

Als kleines Unternehmen können wir unmöglich die Rechenzentrumsinfrastruktur, die für einen SaaS-Dienst wie time cockpit notwendig ist, hochverfügbar und sicher betreiben. Wir nutzen daher einen Cloud-Computing Dienst, konkret die Microsoft Azure Cloud.

Im Lauf der Jahre konnte unser Team so viel Wissen und Erfahrung mit Microsoft Azure sammeln, dass unsere Teammitglieder heute zu den führenden Experten über diese Cloud-Plattform in Europa zählen. Wir halten Vorträge, Workshops und Trainings unter anderem auch für Microsoft in ganz Europa. Natürlich nutzen wir diese Expertise auch für die Entwicklung, Wartung und den Betrieb unseres eigenen Produkts time cockpit.

Microsoft Azure bietet aus unserer Sicht ein sehr gutes Niveau an Datenschutz und Datensicherheit. Um Ihnen die Bewertung von Azure aus Sicht des Datenschutzes zu erleichtern, folgen Links zu wichtigen, weiterführenden Informationen:

Absicherung der Infrastruktur

Zur Speicherung und Verarbeitung Ihrer time cockpit Daten verwenden wir ausschließlich sogenannte Platform-as-a-Service (PaaS) Dienste von Microsoft Azure. Das bedeutet, dass Microsoft sowohl die Hardware- als auch die Softwarebasis (z. B. Betriebssystem, Datenbanksystem, Firewalls, Load Balancer etc.) aufbaut und wartet. Time cockpit profitiert dadurch vom Wissen und der Erfahrung eines der größten Softwareunternehmen und Rechenzentrumsbetreiber der Welt.

Die PaaS Dienste von Microsoft Azure folgen dem Prinzip Secure by Default. Das bedeutet, dass wichtige Sicherheitsmaßnahmen (z. B. Verwendung von Clustern anstatt einzelner Server, Verschlüsselung der Daten während der Übertragung, komplexe Passwörter etc.) nicht optional, sondern verpflichtend sind. Sie können weder absichtlich noch unabsichtlich abgeschaltet werden.

Beispiele für PaaS Dienste von Microsoft Azure, die wir zum Zeitpunkt des Schreibens dieses Artikels verwenden, sind:

Wo werden Ihre Daten gespeichert?

Für time cockpit nutzen wir zum Speichern und Verarbeiten ihrer time cockpit Daten ausschließlich europäische Rechenzentren von Microsoft Azure.

EU Rechenzentrum aber US Konzern – ein Widerspruch?

Wir werden häufig gefragt, ob angesichts der Tatsache, dass Microsoft ein US-Unternehmen ist, die Nutzung europäischer Rechenzentren überhaupt einen Unterschied macht. Unserer Meinung macht es das.

Microsoft hat sich in einem Prozess, der viel Aufsehen erregt hat, erfolgreich gegen einen „Search Warrant“ gewährt, mit dem sich US-Behörden Zugriff auf Daten beschaffen wollten, die in einem Microsoft-Rechenzentrum in Irland gespeichert sind. Diesen Prozess hat Microsoft im Juli 2016 gewonnen. Die gesamte Entwicklung des Falles mit Hintergrundinformationen kann unter https://digitalconstitution.com/ nachgelesen werden. Auch heise online hat über die Gerichtsentscheidung im Sommer 2016 berichtet.

Sollten aus datenschutzrechtlicher Sicht die Microsoft-Rechenzentren nicht mehr ausreichen (z.B. wegen kommender Maßnahmen der Trump-Administration), gibt es einen Plan B: Seit einigen Monaten bietet Microsoft zwei Azure-Rechenzentren in Deutschland an, von einem deutschen Datentreuhänder (T-Systems) betrieben wird und daher besonders strengen Datenschutzrichtlinien entsprechen. Da diese Rechenzentren mit spürbaren Zusatzkosten verbunden sind, nutzen wir sie aktuell noch nicht. Ein Umstieg wäre aber technisch machbar und die Option stellt daher eine Absicherung für den Fall der Fälle dar.

Zertifizierungen

Die Microsoft Azure-Dienste, die wir für time cockpit nutzen, wurden nach verschiedenen Standards geprüft. Microsoft kann entsprechende Zertifizierungen vorweisen. Hier exemplarisch einige Links. Weitere Details können im Microsoft Trust Center nachgelesen werden.

Verfügbarkeit

Microsoft bietet für die Dienste, die wir für time cockpit in Azure betreiben, Service Level Agreements (SLAs) an, die die Hochverfügbarkeit zusichern. In der Regel bieten die betroffene Systeme SLAs von 99,95% oder 99,99%. Die genauen Werte können am Microsoft Azure Informationsportal je PaaS-Dienst nachgelesen werden (z. B. 99,99% SLA für SQL Datenbanken)

Vertragsbeziehung zu Microsoft

Unser Unternehmen ist seit vielen Jahren enger Partner von Microsoft. Wir sind im Microsoft-Partnerprogramm zertifiziert für die Silver Cloud Platform Kompetenz. Zum Betrieb unserer Software in Microsoft Azure haben wir seit vielen Jahren ein Enterprise Agreement mit Microsoft abgeschlossen.

Es ist auf Wunsch möglich, dass unsere Kunden selbst Vertragspartner von Microsoft werden und Ihre time cockpit Datenbanken in Ihrer eigenen Microsoft Azure Umgebung betrieben werden. Bitte beachten Sie jedoch, dass für Unterstützungsleistungen bei der Einrichtung und Wartung eventuell zusätzliche Kosten anfallen können.

Time Cockpit Nutzungs- und Datenschutzbestimmungen

Die Nutzungs- und Datenschutzbestimmungen von time cockpit finden Sie auf unserer Webseite.

Interne, unterstützende Systeme

Zusätzlich zu den PaaS-Diensten, die wir zur Speicherung und Verarbeitung von time cockpit Daten nutzen, verwenden wir bei software architects Systeme zur Überwachung unserer Cloud-Dienste, Webseiten etc. Die aufgezeichneten Daten dienen dem Schutz unserer Systeme (z. B. Überwachung der Auslastung, Erkennung von Versuchen zum unerlaubten Zugriff etc.) sowie zur Optimierung der von uns gebotenen Leistungen. Darüber hinaus verwenden wir Cloud-Dienste für den Kundensupport. Sollten Sie genauere Informationen über diese Cloud-Dienste benötigen, bitten wir um Kontaktaufnahme unter support@timecockpit.com.

Weitere Fragen?

Haben Sie weiter Fragen zum Thema Datenschutz in time cockpit? Brauchen Sie Informationen für eine interne oder externe Prüfung? Möchten Sie Ihre eigene SaaS-Lösung bauen und suchen dafür einen Berater mit jahrelanger Cloud-Erfahrung? Wir helfen Ihnen gerne. Kontaktieren Sie uns am besten per Email unter support@timecockpit.com.

comments powered by Disqus